描述

在 Spring Data REST 版本 3.4.0 - 3.4.13、3.5.0 - 3.5.5 以及較舊的不支援版本中，由使用已配置的基本 API 路徑和控制器型別層級要求對應的自訂控制器實作的 HTTP 資源，也會在 URI 下公開，這些 URI 可能會因 Spring Security 配置而暴露未授權存取。此漏洞僅適用於滿足以下所有條件的專案：

• 專案使用上述宣告為易受攻擊的版本之一的 Spring Data REST。
• Spring Data REST 基本路徑配置設定為非空字串。
• 專案註冊一個自訂 Spring MVC 控制器，以自訂 Spring Data REST URI 空間中的 HTTP 資源，且該控制器使用型別層級的 @RequestMapping 註解；專案僅保護 Spring Data REST 在基本路徑中公開的路徑，但不會對符合沒有配置基本路徑前置的要求對應的 URI 採取安全措施。

受影響的 Spring 產品與版本

• Spring Data REST
  • 3.4.0 至 3.4.13
  • 3.5.0 至 3.5.5
  • 較舊的不支援版本也會受到影響

緩解措施

受影響版本的使用者應升級到以下其中一個版本。無需其他步驟。

• Spring Data REST
  • 3.4.14+ (包含在 Spring Boot 2.4.12+ 中)
  • 3.5.6+ (包含在 Spring Boot 2.5.6+ 中)

鳴謝

此漏洞最初由 Brian Schrader 發現並負責任地報告。

參考資料

• https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:N

歷史記錄

• 2021-10-26：發布初始漏洞報告。